Как с помощью кросс-чейн мостов хакеры Lazarus отмыли более $110 млн в крипте

В 2023 году аффилированные с северокорейским режимом хакерские группировки заметно нарастили число атак на централизованные площадки. При этом еще в 2022 году, согласно отчету Chainalysis, упор был на децентрализованных финансах.

На двух последних кейсах с атаками хакеров Lazarus на криптобиржу CoinEx и казино Stake.com (общий ущерб – чуть больше 110 млн долларов) команда BitOK покажет основные инструменты и методы отмывания криптовалюты, а также выясним, почему кросс-чейн мосты так сильно понравились хакерам.

4 сентября 2023 года при атаке на онлайн-казино Stake.com, хакеры смогли украсть криптовалюту в сетях Ethereum, MATIC и BNB Chain (бывш. Binance Smart Chain) на сумму более 41 млн долларов.

Часть средств, украденных в сети Ethereum, была изначально направлена на адреса, предположительно принадлежащие Lazarus Group и включенные в санкционные списки OFAC (Управление по контролю за иностранными активами США), и затем поступила на два адреса:

1. 0xa4694f58A2445c5BF89405bc20E87fe6D8622356;
2. 0xc8A03DaaB82DB33Af11a48Bdb1E0e2B59C4c62Fb.

После этого средства распылили по множеству адресов и направили на THORChain, где был произведен ‘chain-hopping’ - обмен с сети Ethereum (ETH) на Bitcoin (BTC).

Часть средств отправили на децентрализованный агрегатор обмена криптовалют 1inch Network. С его помощью ETH обменяли на стейблкоин USDT стандарта ERC-20, который затем перевели на THORChain. А уже с помощью кросс-чейн моста USDT конвертировали в BTC. Одним из биткоин-адресов получателей, например, является адрес bc1q6z6y8e335wd3ys5zr0qvqpgztw359w0e9zlpgm (рис. 1).

Далее средства отправили на де-факто подсанкционный миксер Sindbad.io (бывш. Blender) (рис. 2).

При этом часть украденных средств до сих пор лежит на адресах, не принадлежащих каким-либо сервисам. Например, на адресе bc1qfddxamm7dd4wph4wtru22s4zjek0e0umzj7z7k.

Украденные USDT_ETH частично были направлены на адрес 0x1154926C6AC4Be7A6C979D11ca2921D3e77BaaA1. C данного адреса средства ушли на децентрализованную биржу (DEX) Uniswap (в качестве примера транзакции можно привести 0x5f043071f40d87ac3d12c07faed80fb96d2048f36eeb19ac697884725fd35846), где стейблкоин обменяли на ETH. Позже средства в ETH перенаправили обратно на адрес 0x115…BaaA1 (рис. 3).

Далее средства отправили на адрес 0xdD5F63753b578cc801d11572e80C62ee97BB3571, а с него вновь перекинули на мост THORChain, предварительно распылив средства на множество адресов-посредников. При помощи THORChain злоумышленники снова обменяли ETH на BTC (chain-hopping) и перевели на адреса вроде bc1q4k9lreq9thdw9d33xh89nx8n5m9rpm6qr9ejea (рис. 4).

В дальнейшем средства с этого кошелька отправили по трем направлениям:

1. Часть средств ушла на миксер Sindbad.io (рис. 5);
2. Часть средств ушла на централизованные криптовалютные биржи (HTX, Whitebit и т.д.) (рис. 6);
3. Остальные активы лежат на кошельках без движения (bc1q9xn3va65wwvmynyxmu6a4cc32tyjw7a0fjm2wj, bc1qyzkpyvxlpyqjca6kjfpdn49rfpzm6t97p2sadn, bc1qrpyx42mmss76d7f5nnq33uv37epuwakgufg0gr и т.д.) (рис. 5).

Анализ схем отмывания стейблкоинов USDC и DAI указывает на применение хакерами аналогичных методов, описанных выше. Их стратегия включала в себя использование:

• децентрализованных площадок вроде Uniswap (рис. 7 и 8);
• смену блокчейн-сети с использованием THORChain (рис 7 и 8);
• вывод средств через миксер Sindbad.io и различные централизованные биржи (рис. 7);
• оставление части средств на холодных кошельках злоумышленников (рис. 7);.

В случае с инцидентом CoinEx, произошедшим 12 сентября 2023 года, были использованы те же методы, что и в случае с онлайн-казино Stake.com. Часть средств в TRON (TRX) была направлена напрямую на аналог Uniswap в сети TRON — SunSwap. Там произошел своп средств, в результате которого TRX конвертировали в USDT.

Другая часть средств была направлена также на SunSwap, но с использованием адресов TB3ixJUBMQsfELigRodctY6kBhZ74G48UX и TMuMk21X6Gzm6ErNoAhGirWxX1aei4ixwo.
С адреса TB3ixJUBMQsfELigRodctY6kBhZ74G48UX средства распылили на несколько адресов-посредников и завели на SunSwap, где обменяли на USDT.

После конвертации:

1. часть криптовалюты направили на посреднические адреса (TWZT8THckt3SRoEavq6bWtqP8n4d2RABKT, TSkq7SwpgNt7jHtRtCZVVAfVMnEhzezMRL и т.д.). Затем эти средства были заведены на адреса централизованных бирж, таких как Bitget, Gate.io и др (см рис.9).
2. Другую часть USDT обменяли на ETH с использованием кросс-чейн моста Allbridge.io. После этого, с использованием моста THORChain, злоумышленники конвертировали средства из ETH в BTC и распределили по множеству кошельков, где и продолжают оставаться на момент проведения исследования (bc1qy06xsq9yx93d02n95mv5y09z8fzy6usrj09ndy, bc1qzed4cka5972m3x5uh254msyn3f7sfqvcdkhv2k, bc1qnjsclu7xuarcewcxw85umq4ffrmaegvk0rfnat, bc1qa45rjs5sqz7m78m6jhu74myzcdswzp52f4n44z и т.д.) (рис 10).

Если говорить об ETH, то большую часть средств отправили на адрес 0x0406c938a8A77F41C360b5304f6811078E42dA3b, после чего активы распылили на множество посреднических адресов.

После этого их отправили на THORChain, где обменяли на BTC и вновь раскидали по множеству адресов, где они хранятся на момент написания отчета (bc1qphh2mnrdwe7p5jxjxnzwsjsxhzyxzy0emzq0e5, bc1qrxv4mx56x0aus73f65asfgd99gp8hll3aeej9l, bc1qf5papnvu23hsm6mz5hvgcgwmd7te80yza4emay и т.д.) (рис.11).

Что касается украденной криптовалюты Binance Coin (BNB), то средства тоже обменяли на USDT, но уже с использованием сразу нескольких площадок: PancakeSwap, 1inch Network и Uniswap. После череды конвертаций активы отправили на кросс-чейн мост Stargate Finance и обменяли на ETH.

Часть активов обменяли на ETH напрямую на децентрализованных обменниках, а после — вывели на THORChain, где вновь конвертировали в BTC. После обмена на BTC, средства распределили по множеству адресов, на которых они находятся и на момент написания отчета (bc1q52y7ktl0h7x3sjy94zv8je753fweprh454tg6n, 3BhLKKb2ePaswCAsD8diyupYSMX5PeSvV5, bc1qu2rhaua3q7xqj8gfqgt92xher9qg5093mm689p и т.д.) (рис. 12).

Все вышеописанные действия можно проанализировать и пресечь с помощью блокчейн-инструментов ведения расследования.

Публичные меры в ответ на киберпреступления особенно заметны со стороны американского регулятора OFAC. С 2018 года, совместно с аналитическими блокчейн-компаниями и правоохранительными органами, OFAC выявляет крипто-адреса лиц, подозреваемых в противоправной деятельности, и добавляет их в санкционные списки. По состоянию на ноябрь 2023 года в списки OFAC внесен 601 адрес.

Тем не менее, этих мер не всегда бывает достаточно. OFAC добавляет адреса медленными темпами, и лишь небольшая часть выявленных адресов становится обнародованной. Другие регуляторы не имеют в принципе практики внесения адресов в какие-либо черные списки.

Однако поддержание здоровья крипто-рынка в значительной степени зависит от деятельности самих участников: крупных криптобирж, обменников, мостов, миксеров (да, далеко не все из них относятся к bad guys) и т.д.

Большинство участников криптоиндустрии уже действуют из соображений доброй воли и работают главным образом на защиту средств клиента и будущую карму (в скором времени регулирование будет максимально адаптировано к рынку). В этом им помогают профессиональные сервисы блокчейн аналитики и независимые AML-расследователи.

Команда BitOK также не остается в стороне. Мы продолжаем следить за развитием событий и улучшать системы мониторинга для оперативной реакции и предотвращения подобных инцидентов в будущем.